大中型企业网络信息安全建设三件事
随着我国信息化建设的飞速发展,企事业单位对计算机和网络的依赖程度越来越高,信息安全问题也日趋严重。中国互联网协会副秘书长黄澄清最近透露说,2002年我国公安机关共受理各类信息网络违法犯罪案件6633起,与2001年相比增长45.9%,其中利用计算机实施的违法犯罪5301起,占案件总数的79.9%。此外,在遭受黑客攻击最为频繁的国家中,我国已经上升到了第三位;而病毒的泛滥,更让国内众多企业蒙受了巨额经济损失。加强信息安全建设,已成了目前国内企业迫在眉睫的大事。笔者认为,企业信息安全建设应当从硬件、软件、人员三个方面着手,方能起到立竿见影的效果。硬件
当年英特尔公司在发布Pentium III处理器的时候,曾因序列号问题引起轩然大波。按照英特尔的设想,以硬件的方式赋予每颗处理器一个独一无二的序列号(Processor Serial Number,PSN),既可以大幅度加强电子商务的安全性,又能够帮助企业内部IT人员管理公司电脑和软件。倘若英特尔的这种构想能够得到全面实现,网络犯罪现象将从某种程度上得到控制,因为入侵和破坏者所使用的电脑的PSN可以被轻而易举地记录下来,为打击网络犯罪提供有力证据和线索。虽然基于隐私保护和国家安全的考虑,英特尔此举最终遭到了世人非议,并不得不关闭了处理器中的PSN,但从硬件方面入手进行安全防范,倒不失为企业维护信息安全的一着高招。
有消息称,我国60%以上的企业组建了局域网。在局域网中,服务器的硬件安全问题勿需赘述,毕竟多年来服务器厂商一直对此比较重视,并采用了大量保障服务器正常运行、减少灾难发生的技术,如智能I/O技术、容错技术、磁盘阵列技术、热插拔技术、双机热备份等,企业不必把心思放在这方面。相反,PC的信息安全才应当引起企业注意,因为过去人们一直忽视了这个问题。采用安全电脑,无疑是从硬件上增强企业PC信息安全的有效途径。
安全电脑的概念,一经提出,立刻引起了PC厂商的注意。大概在两三年前,市面上出现了一些宣称是安全电脑的产品,不过大都局限于简单的数据加密、口令保护,没有太多新意,也不为企业用户所重视。2002年底,IBM个人电脑事业部发布了嵌入式安全子系统(ESS),最早在 PC 系统中集成了安全芯片,通过硬件实现了高级别的安全保护,实现了真正意义上的安全电脑。2003年5月,微软也推出一项专门针对Windows应用的安全和保密的NGSCB(Next-Generation Secure Computing Base,新一代安全计算基准)安全技术,试图通过在硬件上整合安全保护单元,来达到保护信息的目的。目前,国内的浪潮、联想等PC厂商已经推出了自己的安全电脑产品。业内人士估计,安全电脑在明年将得到大面积推广和应用。
对于已经购置的电脑,企业用户也可以通过添加附属设备的办法来将其升级为安全电脑,像清华紫光的S锁,易东东的魔法钥匙,都可以增强PC的安全性,实现对重要数据的保护。以清华紫光的S锁为例,只要在电脑的USB接口插上S锁,用户就可在电脑中设置“文件保险箱”(加密文件夹),S锁对保存到“文件保险箱”中的文件自动进行加密;访问“文件保险箱”的用户,必须经过S锁的口令和硬件双重身份认证,没有S锁和正确的密码,即使将硬盘取出安装在其它电脑中也无法读取其中的数据。这就是说,即便电脑被窃贼偷走,也不会有信息泄露的危险。当然,由于企业用PC大多数都保存着重要资料,一旦失窃,尽管信息不会泄露,损失还是会十分重大。幸而现在不少电脑的主机箱都带了锁扣,企业用户别忘了把保存着重要资料的电脑“锁”在墙上,虽然这不过是一件看上去微不足道的小事,在信息安全建设中却不应该被忽视。
软件
在谈到企业信息安全建设时,人们首要想到问题的可能就是购买杀毒软件。事实上,除了杀毒软件,还有许许多多的安全软件值得企业用户投资。IDC曾在一份报告中指出,在未来几年内,安全软件这一领域的增长将为安全管理、访问授权、识别技术、安全内容管理、加密技术、防火墙/VPN技术、入侵检测,以及风险管理等几个产品领域分享。安全管理、访问授权、识别技术三种软件简称3A软件,用于保护计算机系统安全及企业网络应用的过程中的安全防范;安全内容管理软件用于扫描电子邮件、在线下载文件,管理Web内容安全;加密软件保护企业的重要信息不被盗窃、泄密;防火墙/VPN技术是通过识别威胁与阻截通道以保护数据及应用;入侵检测产品主要用于及时监控并发现网络进出流量的异常与攻击行为点,实施主动防御;风险管理软件用于进行漏洞扫描和风险评估。
国内企业不仅对安全软件繁多的种类知之甚少,就连在杀毒软件的使用上也存在着问题。赛迪网做过一项调查,发现在被调查的近千家企业中,约有80%以上的中小企业把单机版杀毒软件当作网络版使用,这些企业网络安全防范意识非常混乱,大部分联网计算机被病毒入侵过,网络服务器更是因频频遭病毒袭击而带来很大经济损失。单机版杀毒软件在功能和适用范围上与网络版杀毒软件存在着较大差异,企业用户不能为了节约成本而用单机版杀毒软件代替网络版。有报道指出,我国企业在信息安全方面的投入(主要是安全软件产品)相当有限,在国外,安全投入通常占到企业基础投入的5~20%,而在国内却很少有企业超过2%。
安全软件产品经过多年来的发展,已经从孤立的防护产品上升到了综合解决方案。企业应当意识到,信息安全建设必须考虑到整个网络中每个可能出现的漏洞,综合杀毒软件、防火墙、入侵检测软件、安全漏洞扫描工具等产品,对服务器、网关、客户端以及其它设备实行全方位保护,以构建全面可靠的信息安全屏障。企业应当选择产品质量过硬、服务完善的安全厂商进行长期合作,这样在自己的系统出现安全漏洞时,能够得到对方的帮助以迅速弥补,而每一次重大病毒出现前,也可能因为对方的及时预警而减少不必要的损失。国内的企业应当意识到信息安全的重要性,根据自身的实际情况,增加在安全软件产品方面的投入,而不能指望购买一套杀毒软件后就能一了百了。
人员
我们不难发现,国内部分企业的员工都有下面这些不良习惯:把复杂难以记忆的密码贴在办公桌或墙上,随意从网上下载可能携带病毒的软件,访问带有恶意程序的黄色站点,不自主地打开标题诱人的垃圾邮件……企业的信息安全建设,最终还是要落到人的身上。因为如果企业员工的信息安全意识跟不上,那么无论在硬件和软件方面花费了多少投资,对于解决安全问题都无济于事。加强员工信息安全知识教育,制定合理的信息安全管理条例,是保障企业信息安全建设顺利实施的关键。
企业还应当设置专门的信息安全管理人员,负责内部计算机网络系统的安全防范工作。拿今年8月份在互联网上肆虐一时的“冲击波”病毒来说,其实微软早在数月前就提醒过用户要修补Windows系统的漏洞,如果企业有专人负责系统安全,及时下载补丁升级,那么自然不会因为这种病毒而有所损失。据了解,国内绝大部分企业都没有设置单独的信息安全管理岗位,通常只是一两个普通的技术员兼任这方面的工作,他们对信息安全知识了解不多,有的甚至于自身的信息安全观念都有所欠缺,显然难以担当起负责整个企业信息安全的重任。在计算机病毒和黑客面前,如果只知道凭借硬件和软件产品来进行防护,而没有高素质的信息安全人才参与,那么企业的信息安全建设等于空中楼阁。
追根溯源,我国企业的信息安全意识普遍较差,主要是因为企业领导不重视。在激烈的市场竞争中,企业领导通常把主要精力集中在产品的生产、宣传、销售上,对信息安全建设这类看不到效益的后台项目往往不理不问,更不愿意多花钱,他们也许知道有必要购买杀毒软件,但要再添加其它安全产品,恐怕就难以赞同了。他们忘了,倘若企业机密信息泄露,造成的损失将不可估量,而如果竞争对手在自家电脑里装上了木马程序,那么自己的一举一动都会为他人掌握,在市场竞争中败北势必在所难免。看来,要想搞好企业的信息安全建设,还有赖于企业领导转变观念。
总之,企业信息安全建设,是一项综合性很强的系统工程,需要以硬件为基础,配备由各种安全软件产品组成的解决方案,并加强员工的信息安全意识教育,转变企业领导观念,从而建立起一个能保障企业信息安全的动态防范系统。 学习 {:soso_e101:} 顶!
页:
[1]